Upravit

Sdílet prostřednictvím


Nejčastější dotazy k samoobslužným resetování hesla

Tady jsou některé nejčastější dotazy týkající se samoobslužného resetování hesla.

Pokud máte obecnou otázku týkající se Microsoft Entra ID a samoobslužného resetování hesla (SSPR), na které zde odpověď není, můžete požádat komunitu o pomoc na stránce pro otázky Microsoft Q&A pro Microsoft Entra ID. Mezi členy komunity patří inženýři, produktoví manažeři, MVP a kolegové IT specialisté.

Tyto nejčastější dotazy jsou rozdělené do následujících částí:

  • Dotazy týkající se registrace resetování hesla
  • Dotazy týkající se resetování hesla
  • Dotazy týkající se změny hesla
  • Dotazy týkající se sestav správy hesel
  • Dotazy týkající se zpětného zápisu hesla

Registrace resetování hesla

Můžou si uživatelé zaregistrovat svoje vlastní data resetování hesla?

Ano. Pokud je povolené resetování hesla a jsou licencované, můžou uživatelé přejít na registrační portál pro resetování hesla (https://aka.ms/ssprsetup) a zaregistrovat své ověřovací informace. Uživatelé se také můžou zaregistrovat prostřednictvím Přístupový panel (https://myapps.microsoft.com). Pokud se chcete zaregistrovat prostřednictvím Přístupový panel, musí vybrat profilový obrázek, vybrat Profil a pak vybrat možnost Registrovat pro resetování hesla.

Pokud povolíte kombinovanou registraci, můžou si uživatelé současně zaregistrovat samoobslužné resetování hesla i vícefaktorové ověřování Microsoft Entra.

Pokud pro skupinu povolím resetování hesla a pak se rozhodnete, že ho povolím všem uživatelům, musí se znovu zaregistrovat?

Ne. Uživatelé, kteří mají vyplněná ověřovací data, se nevyžadují k opětovné registraci.

Můžu definovat data resetování hesla jménem svých uživatelů?

Ano, můžete to udělat pomocí Microsoft Entra Connect, PowerShellu, Centra pro správu Microsoft Entra nebo Centrum pro správu Microsoftu 365. Další informace naleznete v tématu Data používaná samoobslužným resetováním hesla microsoft Entra.

Můžu synchronizovat data pro bezpečnostní otázky z místního prostředí?

Ne, dnes to není možné.

Můžou uživatelé registrovat data takovým způsobem, aby tato data neviděli jiní uživatelé?

Ano. Když uživatelé registrují data pomocí portálu pro registraci resetování hesla, uloží se data do polí privátního ověřování, která jsou viditelná pouze správcům privilegovaného ověřování a uživateli.

Musí být moji uživatelé zaregistrovaní, aby mohli použít resetování hesla?

Ne. Pokud definujete dostatek ověřovacích informací jejich jménem, uživatelé se nemusí registrovat. Resetování hesla funguje, pokud jste správně naformátovali data uložená v příslušných polích v adresáři.

Můžu jménem uživatelů synchronizovat nebo nastavit pole ověřovacího telefonu, ověřovacího e-mailu nebo alternativního ověřovacího telefonu?

Pole, která může nastavit správce privilegovaného ověřování, jsou definována v článku Požadavky na data SSPR.

Jak portál pro registraci určuje, které možnosti zobrazit moji uživatelé?

Na portálu pro registraci resetování hesla se zobrazují jenom možnosti, které jste povolili uživatelům. Tyto možnosti najdete v části Zásady resetování hesla uživatele na kartě Konfigurace vašeho adresáře. Pokud například nepovolíte bezpečnostní otázky, uživatelé se k této možnosti nebudou moct zaregistrovat.

Kdy je uživatel považován za zaregistrovaný?

Uživatel se považuje za zaregistrovaný pro SSPR, když zaregistroval alespoň počet metod potřebných k resetování hesla, které jste nastavili v Centru pro správu Microsoft Entra.

Resetování hesla

Bráníte uživatelům v několika pokusech o resetování hesla za krátkou dobu?

Ano, existují funkce zabezpečení integrované do resetování hesla, které ho chrání před zneužitím.

Uživatelé se můžou pokusit ověřit své informace (například telefonní číslo), ale pokud nemůžou prokázat svoji identitu pětkrát během 24 hodin, jsou za 24 hodin uzamčení.

Uživatelé se můžou pokusit ověřit telefonní číslo, aplikaci pro ověřování, poslat textovou zprávu nebo ověřit bezpečnostní otázky a odpovědi jenom pětkrát do hodiny, než se uzamknou po dobu 24 hodin.

Uživatelé můžou posílat e-maily maximálně 10krát do 10 minut, než se uzamknou po dobu 24 hodin.

Čítače se resetují, jakmile uživatel resetuje heslo.

Jak dlouho mám čekat na přijetí e-mailu, textové zprávy nebo telefonního hovoru z resetování hesla?

E-maily, textové zprávy a telefonní hovory by měly dojet za minutu. Normální případ je 5 až 20 sekund. Pokud oznámení v tomto časovém rámci neobdržíte:

  • Zkontrolujte složku s nevyžádanou poštou.
  • Zkontrolujte, jestli je číslo nebo e-mail, který kontaktujete, ten, který očekáváte.
  • Zkontrolujte, jestli jsou ověřovací data v adresáři správně naformátovaná, například +1 4255551234 nebo user@contoso.com.

Jaké jazyky podporuje resetování hesla?

Uživatelské rozhraní pro resetování hesla, textové zprávy a hlasové hovory jsou lokalizovány ve stejných jazycích, které jsou podporovány v Microsoftu 365.

Jaké části prostředí pro resetování hesla se při nastavování položek brandingu organizace na kartě Konfigurace adresáře zobrazují značky?

Portál pro resetování hesla zobrazuje logo vaší organizace a umožňuje nakonfigurovat odkaz "Kontaktujte správce" tak, aby odkazoval na vlastní e-mail nebo adresu URL. Všechny e-maily odeslané resetováním hesla zahrnují logo, barvy a jméno vaší organizace v textu e-mailu a je přizpůsobené z nastavení pro tento konkrétní název.

Jak můžu uživatele informovat o tom, kam se mají hesla resetovat?

Vyzkoušejte některé návrhy v našem článku o nasazení SSPR.

Můžu tuto stránku použít z mobilního zařízení?

Ano, tato stránka funguje na mobilních zařízeních.

Podporujete odemknutí místních účtů služby Active Directory, když uživatelé resetují svá hesla?

Ano. Když uživatel resetuje heslo, pokud se zpětný zápis hesla nasadí přes Microsoft Entra Connect, účet daného uživatele se automaticky odemkne při resetování hesla.

Jak můžu integrovat resetování hesla přímo do prostředí přihlašování k počítači uživatele?

Pokud jste zákazníkem Microsoft Entra ID P1 nebo P2, můžete microsoft Identity Manager nainstalovat bez dalších poplatků a nasadit místní řešení pro resetování hesel.

Můžu pro různá národní prostředí nastavit různé bezpečnostní otázky?

Ne, dnes to není možné.

Kolik otázek můžu nakonfigurovat pro možnost ověřování bezpečnostních otázek?

Jak dlouho může být bezpečnostní otázky?

Bezpečnostní otázky můžou mít délku 3 až 200 znaků.

Jak dlouho můžou být odpovědi na bezpečnostní otázky?

Odpovědi můžou mít délku 3 až 40 znaků.

Jsou duplicitní odpovědi na bezpečnostní otázky odmítnuté?

Ano, duplicitní odpovědi na bezpečnostní otázky odmítneme.

Může uživatel zaregistrovat stejnou bezpečnostní otázku více než jednou?

Ne. Jakmile uživatel zaregistruje konkrétní otázku, nemůže se k této otázce zaregistrovat podruhé.

Je možné nastavit minimální limit bezpečnostních otázek pro registraci a resetování?

Ano, jeden limit je možné nastavit pro registraci a druhý pro resetování. Pro registraci je možné vyžadovat tři až pět bezpečnostních otázek a pro resetování je možné vyžadovat tři až pět otázek.

Nakonfiguroval(a) jsem zásadu tak, aby vyžadovala, aby uživatelé používali bezpečnostní otázky k resetování, ale zdá se, že jsou správci Azure nakonfigurovaní jinak.**

Toto je očekávané chování. Microsoft vynucuje silné výchozí zásady resetování hesel se dvěma branami pro libovolnou roli správce Azure. Správci tak nemůžou používat bezpečnostní otázky. Další informace o této zásadě najdete v článku o zásadách a omezeních hesel v microsoft entra ID .

Pokud uživatel zaregistroval více než maximální počet otázek potřebných k resetování, jak jsou během resetování vybrané bezpečnostní otázky?

N počet bezpečnostních otázek se náhodně vybírá z celkového počtu otázek, pro které se uživatel zaregistroval, kde N je hodnota nastavená pro počet otázek potřebných k resetování . Pokud například uživatel zaregistroval pět bezpečnostních otázek, ale k resetování hesla jsou potřeba jenom tři, tři z těchto pěti otázek se náhodně vyberou a zobrazí se při resetování. Pokud chce uživatel zabránit kladivu na otázky, začne proces výběru znovu.

Jak dlouho jsou e-maily a textové zprávy jednorázové heslo platné?

Životnost relace pro resetování hesla je 15 minut. Od začátku operace resetování hesla má uživatel 15 minut na resetování hesla. Jednorázové heslo platí 5 minut během relace resetování hesla.

Můžu uživatelům zablokovat resetování hesla?

Ano, pokud k povolení samoobslužného resetování hesla používáte skupinu, můžete odebrat jednotlivého uživatele ze skupiny, který uživatelům umožňuje resetovat heslo. Pokud je uživatel správcem privilegovaného ověřování, může resetovat heslo a nedá se zakázat.

Změna hesla

Kde mají uživatelé změnit svá hesla?

Uživatelé můžou změnit hesla kdekoli, kde uvidí svůj profilový obrázek nebo ikonu, třeba v pravém horním rohu portálu Office 365 nebo Přístupový panel prostředí. Uživatelé můžou změnit svá hesla ze stránky Přístupový panel Profilu. Pokud platnost hesel vypršela, může se uživatelům také zobrazit výzva k automatické změně hesel na přihlašovací stránce Microsoft Entra. A konečně uživatelé můžou přejít na portál pro změnu hesla Microsoft Entra přímo, pokud chtějí změnit svá hesla.

Můžou být moji uživatelé upozorněni na portálu Office, když jejich místní heslo vyprší?

Ano, je to možné dnes, pokud používáte Active Directory Federation Services (AD FS) (AD FS). Pokud používáte službu AD FS, postupujte podle pokynů v článku Odesílání deklarací zásad hesel pomocí služby AD FS . Pokud používáte synchronizaci hodnot hash hesel, není to dnes možné. Zásady hesel nesynchronizujeme z místních adresářů, takže není možné publikovat oznámení o vypršení platnosti do cloudových prostředí. V obou případech je také možné upozornit uživatele, jejichž hesla mají vypršet prostřednictvím PowerShellu.

Můžu uživatelům zablokovat změnu hesla?

U uživatelů, kteří jsou jenom v cloudu, není možné blokovat změny hesel. U místních uživatelů můžete nastavit možnost Uživatel nemůže změnit na vybrané heslo. Vybraní uživatelé nemůžou změnit heslo.

Sestavy správy hesel

Jak dlouho trvá zobrazení dat v sestavách správy hesel?

Data by se měla zobrazovat v sestavách správy hesel za 5 až 10 minut. V některých případech může zobrazení trvat až hodinu.

Jak můžu filtrovat sestavy správy hesel?

Pokud chcete filtrovat sestavy správy hesel, vyberte malé lupy napravo od popisků sloupců v horní části sestavy. Pokud chcete provádět rozsáhlejší filtrování, můžete si sestavu stáhnout do Excelu a vytvořit kontingenční tabulku.

Jaký je maximální počet událostí uložených v sestavách správy hesel?

Do sestav správy hesel se ukládá až 75 000 událostí resetování hesla nebo registrace resetování hesel, které se nacházejí až do 30 dnů. Pracujeme na rozšíření tohoto čísla tak, aby zahrnovalo více událostí.

Jak daleko jsou sestavy správy hesel?

Sestavy správy hesel zobrazují operace, ke kterým došlo během posledních 30 dnů. Pokud teď potřebujete archivovat tato data, můžete sestavy pravidelně stahovat a ukládat je do samostatného umístění.

Existuje maximální počet řádků, které se dají zobrazit v sestavách správy hesel?

Ano. Na obou sestavách správy hesel se může zobrazit maximálně 75 000 řádků bez ohledu na to, jestli se zobrazují v uživatelském rozhraní nebo se stáhnou.

Má rozhraní API pro přístup k datům generování sestav resetování hesla nebo registrace?

Ano, tyto informace můžete získat ze sestavy aktivit metod ověřování nebo rozhraní API, abyste získali aktivitu resetování hesla. Můžete také použít rozhraní API protokolů auditu a filtrovat podle událostí SSPR.

Zpětný zápis hesla

Jak zpětný zápis hesla funguje na pozadí?

Vysvětlení toho, co se stane, když povolíte zpětný zápis hesla a jak data procházejí systémem zpět do místního prostředí, najdete v článku Jak funguje zpětný zápis hesla.

Jak dlouho trvá zpětný zápis hesla? Dochází ke zpoždění synchronizace, jako je synchronizace hodnot hash hesel?

Zpětný zápis hesla je okamžitý. Jedná se o synchronní kanál, který funguje v podstatě jinak než synchronizace hodnot hash hesel. Zpětný zápis hesla umožňuje uživatelům získat zpětnou vazbu v reálném čase o úspěšném resetování hesla nebo operaci změny. Průměrná doba úspěšného zpětného zápisu hesla je pod 500 ms.

Pokud je můj místní účet zakázaný, jak to ovlivní můj cloudový účet a přístup?

Pokud je vaše místní ID zakázané, vaše ID cloudu a přístup se také deaktivují v dalším intervalu synchronizace prostřednictvím služby Microsoft Entra Connect. Ve výchozím nastavení je tato synchronizace každých 30 minut.

Pokud je můj místní účet omezený zásadami hesel místní Active Directory, dodržuje SSPR tuto zásadu při změně hesla?

Ano, samoobslužné resetování hesla závisí na zásadách místní Active Directory hesel a dodržuje je. Tato zásada zahrnuje typické zásady hesel domény služby Active Directory a také všechny definované jemně odstupňované zásady hesel, které jsou cílem uživatele.

Pro jaké typy účtů funguje zpětný zápis hesla?

Zpětný zápis hesla funguje pro uživatelské účty synchronizované z místní Active Directory na ID Microsoft Entra, včetně federovaného, synchronizovaného hodnoty hash hesel a předávacího ověřování.

Vynucuje zpětný zápis hesla zásady hesel domény?

Ano. Zpětný zápis hesla vynucuje věk hesla, historii, složitost, filtry a jakékoli další omezení, která můžete zavést na hesla v místní doméně.

Je zpětný zápis hesla zabezpečený? Jak si můžu být jistá, že se nenabourám?

Ano, zpětný zápis hesla je zabezpečený. Další informace o několika vrstvách zabezpečení implementovaných službou zpětného zápisu hesel najdete v části Zabezpečení zpětného zápisu hesla v článku s přehledem zpětného zápisu hesla.